MS10-104: SharePoint 2007漏洞
今天,我们发布了MS10-104,以解决SharePoint 2007服务器中的漏洞CVE-2010-3964,该漏洞被评级为重要严重性。在本博客中,我们将详细介绍此漏洞的一些额外细节。
我的SharePoint服务器是否受此漏洞影响?
SharePoint服务器有两种安装类型:独立安装和场安装。独立安装用于测试/评估目的,不能在创建SharePoint场时使用。场安装有两种子类型:完整安装和Web前端安装。两种类型的服务器都可以用于形成SharePoint场。这是SharePoint服务器在生产部署中的预期使用方式。
以下屏幕截图显示了在SharePoint安装期间可以选择的服务器类型:
[图片描述:SharePoint安装过程中的服务器类型选择界面]
默认情况下,易受攻击的服务“Office Document Conversions Launcher Service”在SharePoint场安装中处于禁用状态。然而,在SharePoint独立安装中,该服务是启用的。很可能,生产环境中的SharePoint服务器将以场模式部署,因此默认情况下不易受攻击。
您可以使用命令“sc query dclauncher”检查“Office Document Conversions Launcher Service”是否在您的SharePoint服务器上运行。如果服务正在运行,则SharePoint服务器易受攻击。
受限来宾账户缓解措施是什么?
虽然“Office Document Conversions Launcher Service”在localsystem账户下运行,但实际的文档转换过程是在一个特殊的HYU_
禁用“Office Document Conversions Load Balancer Service”或阻止TCP端口8093是否是好的解决方法?
在公告中,我们列出了涉及禁用“Office Document Conversions Launcher Service”或阻止TCP端口8082的解决方法。在正常场景中,用户需要首先通过称为“Office Document Conversions Load Balancer Service”的不同服务检索launcherUri,然后连接到“Office Document Conversions Launcher Service”。乍一看,禁用或阻止对负载均衡器服务的访问似乎也是一个有效的解决方法。但是,您应该注意,launcherUri具有可预测的格式,可能被攻击者猜到。他们可以直接连接到“Office Document Conversions Launcher Service”并触发漏洞。因此,仅禁用“Office Document Conversions Load Balancer Service”或阻止其运行的TCP端口8093,无法阻止漏洞被触发。
如何知道我的服务器是否被攻击?
SharePoint ULS(统一日志记录服务)日志保存在\Program Files\Common Files\Microsoft Shared\web server extensions\12\LOGS下。您可以查看所有带有“Microsoft.Office.Server.Convers (0x12CC) 0x1750 Document Conversions Launcher Service”的条目,以检查异常的文档转换请求。
致谢
感谢SharePoint团队的Robert Orleth和Mark Debenham在此案例中的工作。
- Chengyun Chu, MSRC Engineering